CSA-2023年DevSecOps的六大支柱:自動(dòng)化_第1頁
CSA-2023年DevSecOps的六大支柱:自動(dòng)化_第2頁
CSA-2023年DevSecOps的六大支柱:自動(dòng)化_第3頁
CSA-2023年DevSecOps的六大支柱:自動(dòng)化_第4頁
CSA-2023年DevSecOps的六大支柱:自動(dòng)化_第5頁
已閱讀5頁,還剩50頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有DevSecOps工作組的官方網(wǎng)址是:/research/working-groups/devsecops/@2023云安全聯(lián)盟大中華區(qū)-保留所有權(quán)利。你可以在你的電腦上下載、儲(chǔ)存、展示、查看及打印,或者訪問云安全聯(lián)盟大中華區(qū)官網(wǎng)()。須遵守以下:(a)本文只可作個(gè)人、信息獲取、非商業(yè)用途b)本文內(nèi)容不得篡改c)本文不得轉(zhuǎn)發(fā);(d)該商標(biāo)、版權(quán)或其他聲明不得刪除。在遵循中華人民共和國著作權(quán)法相關(guān)條款情況下合理使用本文內(nèi)容,使用時(shí)請注明引用于云安全聯(lián)盟大中華區(qū)。致謝中文版翻譯專家組(排名不分先后):序言 4 6 9 9 9 21 21 22 23 24 24 25 25 25 26 26 27 ●支柱4:建立合規(guī)與發(fā)展的橋梁(2022.介紹0.1背景2反思性安全是一種動(dòng)態(tài)的、交互式的、整體的、有效的信息安全管理策略實(shí)踐中推斷出來的文化實(shí)踐,并提供了一套影響組織網(wǎng)絡(luò)安全態(tài)勢DevOps團(tuán)隊(duì)靈活利用持續(xù)集成、持續(xù)交付和基礎(chǔ)設(shè)施即當(dāng)今云基礎(chǔ)設(shè)施的復(fù)雜性意味著即使微小的代碼變更也可能對下游產(chǎn)生很●將安全相關(guān)的信息快速、互惠地傳遞給DevOps團(tuán)隊(duì),通過設(shè)計(jì)連續(xù)的0.3讀者群體控制自動(dòng)化的最佳實(shí)踐,并解釋了有關(guān)DevSecOps安全測試中的常見誤解。2.規(guī)范引用文件3.術(shù)語和定義3.1軟件組成分析(SCA)3.2靜態(tài)應(yīng)用安全測試(SAST)3.3動(dòng)態(tài)應(yīng)用安全測試(DAST)通過行使應(yīng)用功能并根據(jù)應(yīng)用行為和響應(yīng)檢測漏洞來分析正在運(yùn)行的應(yīng)用3.4交互式應(yīng)用安全測試(IAST)3.5運(yùn)行時(shí)應(yīng)用安全保護(hù)(RASP)3.6WEB應(yīng)用防火墻(WAF)3.7云安全態(tài)勢管理(CSPM)3.8云安全監(jiān)控和合規(guī)3.9威脅建模3.10白盒代碼審查3.11軟件交付流水線3.12軟件交付流水線(CDDP)一種符合DevSecOps原則以支持安全軟件交4.CSADevSecOps軟件交付流水線4.1總則務(wù)管理,可能會(huì)應(yīng)用持續(xù)集成、持續(xù)交付和持續(xù)監(jiān)控的概念。開發(fā)和運(yùn)維使用4.2結(jié)構(gòu)階段表示可交付產(chǎn)品的不同漸進(jìn)成熟度。在概念和架構(gòu)設(shè)計(jì)階段,軟每個(gè)階段都有機(jī)會(huì)嵌入適當(dāng)?shù)淖詣?dòng)化安全控制。本文件識別了以下不同的將激活一個(gè)或多個(gè)安全活動(dòng),這些活動(dòng)的結(jié)果決定是否滿足如果安全活動(dòng)的結(jié)果滿足預(yù)期要求,則可交付成果將轉(zhuǎn)移到下一個(gè)檢查點(diǎn)(如果檢查點(diǎn)是最后一個(gè),則轉(zhuǎn)移到下一階段)。否則,可交付成果將示例2:開發(fā)人員的代碼提交或拉取/合并請求可能會(huì)自動(dòng)觸發(fā)源代碼掃描●基于變更的觸發(fā)器:這些觸發(fā)器由基于變更的觸發(fā)器用于保護(hù)檢查點(diǎn)的狀態(tài)變更。它們通常被用于可以以基示例4:在批量代碼倉中掃描誤存的秘密憑活動(dòng)是將可交付成果作為輸入并產(chǎn)生肯定或否定等結(jié)果的單個(gè)過程。如果可交付成果符合活動(dòng)的標(biāo)準(zhǔn),則結(jié)果被認(rèn)為是肯定段運(yùn)行。多個(gè)觸發(fā)器可能依賴于同一個(gè)活動(dòng)的結(jié)果。參考文檔中提供了每個(gè)安4.3流水線的設(shè)置和維護(hù)能逐步引入。對已經(jīng)使用代碼質(zhì)量管理工具或庫管理3工具的安全測試可以快速在引入例如靜態(tài)應(yīng)用安全測試(SAST)新的測試功能時(shí),DevOps團(tuán)隊(duì)?wèi)?yīng)首陰性)。DevOps團(tuán)隊(duì)在自動(dòng)化測試中增加新的發(fā)現(xiàn)類型或功能之前,應(yīng)該5.風(fēng)險(xiǎn)優(yōu)先的流水線5.1概述3/article/3398485/28-devsec5.2風(fēng)險(xiǎn)因素對應(yīng)用程序其固有的風(fēng)險(xiǎn)進(jìn)行評估,包括考慮其處例如:處理銀行或醫(yī)療保健數(shù)據(jù)的應(yīng)用程序可被視為“高風(fēng)險(xiǎn)”,而處理5.3流水線配置的優(yōu)先級示例2:在低風(fēng)險(xiǎn)應(yīng)用程序中,不影響處理個(gè)人數(shù)據(jù)共享6.交付流水線的活動(dòng)框架6.1概述),6.2安全的設(shè)計(jì)6.3安全的編碼●代碼掃描的持續(xù)集成:在持續(xù)集成系統(tǒng)上對代碼推送、合并、發(fā)布實(shí)施6.4安全的軟件組件6.5安全的應(yīng)用程序結(jié)構(gòu)、安全的代碼和無漏洞的組件,它們的集成也動(dòng)態(tài)應(yīng)用程序測試DAST可用于測試分段在測試和生產(chǎn)環(huán)境中對應(yīng)用程序進(jìn)行安全測試以保證安全性。DAST工具可以發(fā)現(xiàn)各種安全問題,從故障注入、故障檢測到資源模糊測試,以確保應(yīng)用程序?qū)﹀e(cuò)誤和惡意輸6.6安全的運(yùn)行環(huán)境不安全的環(huán)境會(huì)使得本來安全的應(yīng)用程用程序容器化和持續(xù)部署的方法為保護(hù)基礎(chǔ)些資源的實(shí)際配置。IaaC代碼和工件的安全分析可●對已部署的應(yīng)用程序和環(huán)境的運(yùn)行態(tài)監(jiān)控是確保環(huán)境和應(yīng)用程序都受到●運(yùn)行態(tài)防御確保在運(yùn)行時(shí)發(fā)現(xiàn)的漏洞6.7密鑰管理7.1概述在安全的交付流水線中使用的很多安全活動(dòng)可以在任何DevSecOps流程中單7.2緩解漏洞

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論